Что из себя представляет SIEM-системы и для каких целей они необходимы?
Очень многие компании, пока, не до конца осознают, что представляет из себя SIEM. Есть главная мысль многих SIEM-систем: они централизуют сетевую энергичность в формате, который легче усваивается. Однако для любой точной компании способ применения SIEM зависит от задач. Но стоит отметить какую-то выборку распространенных видов применения подобных систем. 1. Механизм работы систем SIEM 2. Если вас интересуют SIEM-системы, обратитесь на сайт https://tolknews.ru/obsestvo/149036-siem-produkti-regulirovanie-v-rossii-chto-takoe-siem-chto-nuzhno-znat?erid=LjN8Jxy52.
SIEM в роли усовершенствованной системы обнаружения вторжений 3. Стандартные сценарии применения SIEM-системы 4. Так ли нужна SIEM-система? Механизм работы систем SIEM Понятие SIEM (Security Information and Event Management) в наше время довольно нечетко, можно представить, что это процесс, соединяющий сетевую энергичность в целый направленный комплект данных. Сам термин был изобретен Gartner в 2005 году, однако с того времени само понятие и все, что к нему относится, претерпело много перемен. Изначально аббревиатура представляла собой комбинацию 2-ух слов, означающих область использования ПО: SIM (Security Information Management) — управление справочной безопасностью и SEM (Security Event Management) — управление мероприятиями безопасности. По заявлению Gartner, SIEM-система должна создавать, проверять и представлять информацию из сетевых механизмов и механизмов безопасности.
Также в данную технологию должны входить дополнения для управления идентификацией и доступом, приборы управления уязвимостями и базы данных и приложений. Для наглядности мы выделим несколько функций, которые как правило привозятся SIEM-системами: Вероятность отправки предостережений на базе определенных опций. Доклады и логирование для упрощения аудита. Вероятность просмотра данных на различных уровнях детализации. Если вы полагаете, что это похоже на технологию обнаружения неразрешенных действий, вы невинны. SIEM собирает логи различных приложений, обрабатывает и кладет в концентрированное помещение, с которым комфортно работать.
Принцип сбора и сбережения логов в SIEM В большинстве случаев, объем хранилища находится в зависимости от числа обрабатываемых происшествий в интернете компании. Из лидеров всемирного рынка SIEM стоит отметить следующих: HP ArcSight IBM QRadar SIEM Tibco Loglogic McAfee NitroSecurity RSA Envision Splunk LogRhythm Есть и отечественные SIEM-системы: MaxPatrol SIEM от Positive Технолоджис КОМРАД от «НПО «Эшелон» RUSIEM SIEM в роли усовершенствованной системы обнаружения вторжений По версии определенных специалистов, SIEM представляет из себя усовершенствованную технологию обнаружения вредной энергичности и разных системных странностей. Работа SIEM дает возможность заметить не менее общую иллюстрацию энергичности сети и происшествий безопасности. Когда стандартные средства обнаружения по раздельности не видят атаки, однако она вполне может быть замечена при кропотливом тесте и корреляции информации из разных источников. Вследствие этого очень многие компании оценивают применение SIEM-системы в роли специального и весьма значительного элемента обороны от направленных атак. Функции SIEM-системы > Насколько быстро включить собственный Security Operation Center (SOC) Стандартные сценарии применения SIEM-системы Раньше мы намеревались пересмотреть распространенные сценарии применения SIEM: Наблюдение аутентификации и установление компрометации аккаунтов клиентов и администраторов. Наблюдение примеров инфицирования. Установление вредных программ с применением исходящих журналов компьютера и журналов веб-прокси, и внешних журналов включения и сетевых потоков. Прогноз сомнительного исходящего трафика и передаваемых по сети данных с применением журналов компьютера, журналов веб-прокси и NetFlow. Установление кражи данных и прочих сомнительных внутренних объединений. Наблюдение системных перемен и прочих управленческих действий во внешних системах и их соответствия разрешенной политике. Наблюдение атак на веб-приложения и их результатов с применением журналов веб-сервера, WAF (Web Application Firewall, дисплей для обороны веб-приложений) и логов приложений. Установление усилий компрометации веб-приложений методом теста различных докладов.